“Di solito non lo dico, ma in questo momento il cerotto è dannatamente buono”, ha detto un ricercatore ha scritto. “L’elenco CVE di risposta (CVE-2025-55182) è un 10 perfetto.”
La versione della risposta 19.0.1, 19.1.2 o 19.2.1 contiene codice vulnerabile. I componenti di terze parti noti per essere interessati includono:
- Plug-in RSC Vite
- Plug-in Parcel RSC
- Anteprima di React Router RSC
- RedwoodSDK
- il tuo
- Next.js
Secondo Wiese e altre società di sicurezza aikido, La vulnerabilità, tracciata come CVE-2025-55182, risiede in Flight, un protocollo trovato nei componenti del server React. Next.js ha assegnato la designazione CVE-2025-66478 alla vulnerabilità del pacchetto di tracciamento.
La vulnerabilità deriva dalla deserializzazione non sicura, il processo di codifica di conversione di stringhe, flussi di byte e altri formati “serializzati” in oggetti o strutture dati nel codice. Gli hacker possono sfruttare la deserializzazione non sicura utilizzando payload che eseguono codice dannoso sul server. Le versioni React con patch includono una convalida più rigorosa e un comportamento di deserializzazione più rigoroso.
“Quando un server riceve un payload appositamente predisposto e malformato, non riesce a convalidare adeguatamente la struttura”, spiega Wiese. “Ciò consente ai dati controllati dagli aggressori di influenzare la logica di esecuzione lato server, con conseguente esecuzione di codice JavaScript privilegiato.”
L’azienda ha aggiunto:
Nei nostri test, gli exploit di questa vulnerabilità hanno avuto un’elevata fedeltà, con un tasso di successo di quasi il 100% e potevano essere utilizzati per un’esecuzione completa di codice remoto. Il vettore di attacco non è autenticato e è remoto e richiede solo una richiesta HTTP appositamente predisposta al server di destinazione. Influisce sulla configurazione predefinita dei framework più diffusi.
Entrambe le società consigliano agli amministratori e agli sviluppatori di aggiornare React e tutte le dipendenze che dipendono da esso. Tutti gli utenti dei suddetti framework e plug-in abilitati in remoto dovrebbero verificare con i manutentori per avere indicazioni. Aikido consiglia inoltre agli amministratori e agli sviluppatori di scansionare le proprie basi di codice e repository per utilizzarli con React. Questo collegamento
